Este guia o orienta na configuração de permissões baseadas em funções para sua organização Enterprise. Isso permite que você controle quais recursos equipes específicas ou grupos de membros podem acessar, em vez de dar a todos as mesmas permissões.
Antes de começar, certifique-se de estar familiarizado com:
Gerenciar grupos e limites de gastos de grupo em planos Enterprise — como criar e gerenciar grupos
Gerenciar funções personalizadas em planos Enterprise — como funções personalizadas e recursos funcionam
Antes de começar
Você precisará de acesso de Proprietário ou Proprietário Primário à sua organização Enterprise.
Faça logout e login novamente em sua conta Claude antes de começar. Isso garante que a barra lateral de configurações de administrador atualizada apareça, com as novas páginas de Grupos e Funções personalizadas em Pessoas.
Faça backup de sua lista de membros. Exporte um CSV de seus membros atuais em Configurações da organização > Membros antes de fazer qualquer alteração. Se algo der errado durante a migração, isso fornece uma referência para restaurar o acesso. Consulte Gerenciar membros em planos Team e Enterprise.
Planos de dois assentos: Se sua organização está em um plano Enterprise de dois assentos (com assentos Chat e Chat + Claude Code), funções personalizadas não substituem restrições no nível de assento. Um membro atribuído a um assento somente Chat não pode acessar Claude Code mesmo que sua função personalizada o conceda. Planeje sua estrutura de funções considerando as atribuições de assentos.
Se você planeja usar grupos de provedor de identidade (IdP) do Okta, Entra ID ou outro provedor, certifique-se de que a sincronização de diretório SCIM está configurada. Consulte Configurar provisionamento JIT ou SCIM.
Nota sobre modo de provisionamento: Se sua organização usa provisionamento Somente convite ou JIT, você pode usar apenas grupos criados manualmente para RBAC. Grupos sincronizados por SCIM não são suportados nesses modos.
Planejando sua estrutura de funções
Antes de criar qualquer coisa, decida quais recursos cada equipe ou grupo de membros deve ter acesso. Aqui estão três padrões comuns:
Funções base mais aditivas
Esta é a abordagem recomendada para a maioria das organizações. Crie uma função "Acesso Padrão" para todos com recursos comuns como busca na web, memória e projetos. Em seguida, crie funções aditivas que concedem recursos específicos — por exemplo, uma função "Cowork Habilitado" que apenas adiciona Cowork. Atribua todos os membros à função base através de um grupo "Todos os Usuários" e adicione membros específicos a grupos adicionais que adicionam recursos extras.
Este padrão é flexível porque as permissões são aditivas — combinar uma função base com funções aditivas se compõe de forma limpa sem conflitos.
Funções baseadas em camadas
Crie camadas distintas: "Acesso Completo" com todos os recursos, "Acesso Padrão" com a maioria dos recursos e "Acesso Restrito" com recursos mínimos. Cada membro vai para exatamente um grupo atribuído a uma camada.
Funções baseadas em departamento
Crie funções que mapeiam para departamentos: "Engenharia" com Cowork, Claude Code e execução de código; "Pesquisa" com busca na web, memória e projetos; "Negócios" com busca na web e projetos apenas. Atribua cada grupo de departamento à sua função correspondente.
Etapa 1: Auditar suas configurações atuais
Revise quais recursos estão atualmente ativados ou desativados no nível da organização em Configurações da organização > Recursos.
Vá para Configurações da organização > Organização para exportar ou revisar sua lista de membros.
Anote a função integrada atual de cada membro (Usuário, Admin ou Proprietário).
Para cada equipe ou departamento, decida quais recursos eles precisam acessar.
Lembre-se: qualquer recurso que você queira controlar por grupo deve estar ativado no nível da organização. Se um recurso está desativado no nível da organização, nenhuma função personalizada pode conceder acesso a ele.
Importante: Ao contrário dos membros com a função Usuário, membros atribuídos a Funções personalizadas não herdam automaticamente recursos habilitados pela organização. Cada recurso que um membro de Funções personalizadas precisa deve ser explicitamente concedido por uma função personalizada atribuída a um de seus grupos.
Etapa 2: Criar funções personalizadas
Crie suas funções personalizadas antes de ativar qualquer recurso ou migrar membros. Isso garante que suas funções estejam prontas para aplicar acesso no momento em que os recursos forem ativados.
Clique em "+ Adicionar função".
Nomeie a função e alterne os recursos apropriados.
Clique em "Adicionar função".
Repita para cada função em seu plano.
Consulte Gerenciar funções personalizadas em planos Enterprise para detalhes sobre recursos disponíveis.
Etapa 3: Criar grupos e atribuir funções
Navegue até Configurações da organização > Grupos.
Clique em "Adicionar grupo" para criar um grupo para cada equipe ou camada em seu plano.
Adicione membros aos grupos apropriados.
Atribua cada grupo às funções personalizadas que você criou na etapa 2.
Se você usar sincronização de diretório SCIM, pode sincronizar grupos de seu provedor de identidade em vez de criá-los manualmente. Para detalhes sobre sincronização de grupo SCIM, consulte Gerenciar grupos e limites de gastos de grupo em planos Enterprise.
Múltiplas organizações sob a mesma organização pai: Grupos são gerenciados no nível da organização pai e se propagam para todas as organizações filhas. Você pode ver membros de outras organizações listados em um grupo — isso não significa que eles têm acesso à sua organização. Funções personalizadas atribuídas a um grupo apenas concedem recursos a membros que fazem parte de sua organização específica.
Etapa 4: Verificar atribuições de grupo e função
Antes de migrar membros para Funções personalizadas, confirme que cada membro que você planeja migrar está em pelo menos um grupo atribuído a uma função personalizada. Membros que são migrados sem cobertura de grupo ou função perderão acesso a todos os recursos governados.
Navegue até Configurações da organização > Membros.
Use os filtros Função e Grupo para identificar membros que não estão atribuídos a nenhum grupo.
Alternativamente, clique em "Exportar CSV" para baixar a lista completa de membros com colunas de função e grupo para revisão.
Adicione qualquer membro não atribuído aos grupos apropriados antes de continuar.
Etapa 5: Migrar membros para funções personalizadas
Para que os recursos de função personalizada entrem em vigor, os membros devem ter sua função definida como "Funções personalizadas". Membros com funções de Usuário, Admin ou Proprietário obtêm suas permissões diretamente dessas funções, não de funções personalizadas.
Importante: Conclua esta etapa apenas após ter criado suas funções personalizadas, criado seus grupos e verificado que todos os membros foram atribuídos a grupos (etapas 2–4). Membros movidos para Funções personalizadas antes da conclusão da configuração perderão imediatamente o acesso a todos os recursos governados.
Escolha o caminho de migração com base em se sua organização já habilitou mapeamentos de grupo:
Caminho A: Habilitar mapeamentos de grupo (apenas se já estiver em uso)
Use este caminho apenas se sua organização já habilitou mapeamentos de grupo para atribuição de função. Se você ainda não estiver usando essa configuração, pule para o Caminho B.
Navegue para Configurações da organização > Identidade e acesso.
Na seção de mapeamentos de função, atribua os grupos do IdP que deseja governar por funções personalizadas à função Funções personalizadas.
Salve suas alterações. Membros nesses grupos do IdP são migrados para Funções personalizadas na próxima sincronização.
Membros em grupos do IdP mapeados para Funções personalizadas seguem as permissões das funções personalizadas atribuídas aos seus grupos no Claude. Membros em grupos do IdP mapeados para Usuário seguem as configurações de capacidade no nível da organização. Se um membro estiver em grupos em ambos os mapeamentos, Funções personalizadas tem precedência.
Caminho B: Ferramenta de atribuição em massa
Use este caminho se sua organização não habilitou mapeamentos de grupo.
Aviso: Se você não habilitou mapeamentos de grupo, não o habilite durante a configuração do RBAC. Habilitá-lo sem primeiro atribuir todos os membros a grupos mapeados pode resultar em membros perdendo acesso à sua organização.
Navegue para Configurações da organização > Membros.
Use os filtros Função e Grupo para selecionar os membros que deseja migrar.
Use a ferramenta de atribuição em massa na tabela Membros para alterar a função dos membros selecionados para Funções personalizadas.
Recomendamos migrar primeiro um grupo piloto — uma equipe ou departamento — e verificar se o acesso deles está correto antes de expandir para o resto da organização.
Implantação gradual
Qualquer que seja o caminho que você use, recomendamos migrar em etapas:
Comece com um grupo piloto de uma equipe ou departamento.
Após a migração, verifique se o grupo piloto tem o acesso correto aos recursos com base em suas atribuições de grupo e função.
Se algo não estiver certo, mude os membros afetados de volta para sua função anterior enquanto você faz ajustes.
Expanda para mais membros depois de confirmar que a configuração funciona.
Etapa 6: Habilitar recursos no nível da organização
Habilite recursos no nível da organização apenas após as funções, grupos e migração de membros estarem completos. Isso garante que os recursos de função personalizada já estejam em vigor, sem uma janela em que membros não autorizados possam acessar um recurso.
Para qualquer recurso que você deseje controlar por grupo:
Navegue para a página de configurações do recurso em Configurações da organização (por exemplo, Configurações da organização > Cowork).
Habilite o recurso no nível da organização.
Habilitar um recurso no nível da organização não significa que todos o obtenham — as permissões de função personalizada já estão em vigor para controlar quem pode usá-lo. Pense no botão no nível da organização como tornando o recurso "disponível para atribuição baseada em função" em vez de "ativado para todos".
Etapa 7: Verificar e monitorar
Verificação pontual de acesso: Verifique alguns membros de cada grupo para confirmar que veem os recursos corretos.
Teste o estado restrito: Faça login como (ou peça a) um membro que não deveria ter um recurso como Cowork. Ele deveria vê-lo acinzentado com a mensagem "Entre em contato com seu administrador para solicitar acesso a este recurso".
Teste o estado concedido: Confirme que um membro que deveria ter o recurso o vê funcionando normalmente.
Verifique casos extremos: Teste membros em múltiplos grupos, membros sem grupo e novos membros ingressando via SSO.
As alterações de permissão levam até cinco minutos para sincronizar completamente em toda a plataforma. Os membros podem precisar atualizar o navegador para ver o acesso atualizado.
Usando SCIM com recursos baseados em função
SCIM se conecta aos seus recursos baseados em função através de dois mecanismos que funcionam juntos.
Mapeamento de grupo do IdP para função
Isso controla qual função integrada um membro obtém quando é provisionado. Mapeie seus grupos do IdP para "Funções personalizadas" para que o acesso dos novos membros seja automaticamente governado pelos recursos de função personalizada.
Navegue para Configurações da organização > Identidade e acesso.
Na tabela de mapeamentos de função, mapeie seus grupos do IdP para "Funções personalizadas".
Sincronização de grupo
Isso extrai seus grupos do IdP para o Claude para que possam ser atribuídos a funções personalizadas.
Navegue para Configurações da organização > Grupos
Clique em "Verificar atualizações" na seção Sincronização SCIM.
Quando solicitado a sincronizar Grupos, Membros ou Ambos, selecione apenas Grupos. Sincronizar Membros pode afetar o provisionamento e o acesso dos membros.
Seus grupos do IdP aparecem como grupos originários de SCIM na lista.
Atribua grupos SCIM a funções personalizadas assim como grupos criados manualmente.
No seu IdP, envie apenas os grupos que você realmente pretende usar para RBAC ou limites de gastos. Sincronizar todos os grupos do IdP pode desacelerar o carregamento de página na seção Grupos.
Nota: As permissões de função personalizada se aplicam apenas a membros com "Funções personalizadas" selecionadas em Configurações da organização > Organização. Se você mapear um grupo do IdP para uma função diferente (como Usuário) através do mapeamento de grupo para função, mas atribuir esse mesmo grupo SCIM a uma função personalizada, as permissões da função personalizada não têm efeito — o membro obtém suas permissões de sua função atribuída. Para usar funções personalizadas, certifique-se de que o grupo do IdP está mapeado para "Funções personalizadas".
Gerenciamento contínuo com SCIM
Para conceder acesso de um membro a um recurso, adicione-o ao grupo IdP apropriado. Na próxima sincronização, ele receberá a função personalizada atribuída a esse grupo.
Para revogar o acesso, remova-o do grupo IdP. Na próxima sincronização, a permissão será removida.
Clique em "SCIM sync" na seção Grupos para forçar uma sincronização imediata em vez de aguardar a próxima sincronização agendada.
Plano de reversão
Se você notar que sua estrutura de funções está mal configurada após a migração:
Desative todos os recursos no nível da organização que foram ativados como parte da migração.
Altere os membros afetados de volta para sua função integrada anterior (por exemplo, Usuário).
Eles recuperam imediatamente as permissões estáticas dessa função, e as permissões de função personalizada deixam de ser aplicadas.
Ajuste as funções e grupos conforme necessário e, em seguida, remigre.
Se você ativou mapeamentos de grupo durante a configuração e perdeu o acesso de administrador, siga as etapas de recuperação em Configurar provisionamento JIT ou SCIM em "Perdi o acesso de Administrador/Proprietário após ativar mapeamentos de grupo."
Perguntas frequentes
Preciso ativar um recurso no nível da organização se quiser que apenas alguns membros o tenham?
Sim. O botão no nível da organização deve estar ativado para que as funções personalizadas controlem o acesso por membro. Se um recurso estiver desativado no nível da organização, ninguém poderá acessá-lo, independentemente de sua função. Pense nisso como um interruptor principal — as funções personalizadas controlam quem tem acesso abaixo dele.
O que acontece se um membro definido como "Funções personalizadas" não estiver em nenhum grupo?
Ele não tem permissões de função personalizada, portanto, todos os recursos que exigem permissões ficam acinzentados ou ocultos. Certifique-se de que cada membro definido como "Funções personalizadas" esteja em pelo menos um grupo atribuído a uma função personalizada.
Posso usar funções integradas e personalizadas?
Sim. Membros com as funções Usuário, Administrador ou Proprietário não são afetados pelas permissões de função personalizada porque obtêm suas permissões diretamente dessas funções. Apenas membros definidos como Funções personalizadas são controlados pelo sistema de grupo e função. Isso permite migração gradual.
E se um membro estiver em dois grupos com funções diferentes?
As permissões são aditivas. Se qualquer função na cadeia de um membro conceder um recurso, ele o terá. Você não pode usar uma função para remover uma permissão concedida por outra função.
Posso usar grupos SCIM e grupos manuais juntos?
Sim. Ambos os tipos podem ser atribuídos a funções personalizadas. A diferença é que a associação ao grupo SCIM é gerenciada no seu provedor de identidade, enquanto a associação ao grupo manual é gerenciada nas configurações da organização do Claude.
Proprietários e Proprietários Primários são afetados pelas permissões de função personalizada?
Não. Proprietários e Proprietários Primários sempre têm acesso total a todos os recursos.
Como isso funciona entre organizações pai e filho?
Grupos e sincronização SCIM são gerenciados no nível da organização pai e compartilhados em todas as organizações filho. Atribuições de função e limite de gastos são configuradas independentemente em cada organização filho — alterações em uma organização filho não afetam outras. Alterações de associação de grupo e ressincronizações SCIM se propagam em todas as organizações filho sob o mesmo pai.